保護醫療工作者的遠端存取

保護混合式醫療做法的三個考量因素

近年來，許多醫療保健組織聘用了更多遠端工作者，但卻難以保持最新的網路安全防禦狀態。在財務壓力和人員短缺的情況下，這些組織不得不依賴短期「解決方案」來保護混合式員工免受日益加劇的攻擊。

例如，在全球疫情期間，在更多員工開始進行遠端工作的情況下，51% 的醫療機構僅花費了不到 5,000 美元來建立他們的混合或遠端工作環境。常見的醫療產業網路安全措施包括採用更多的虛擬私人網路 (VPN) 以及將部分應用程式（但並非所有安全功能）轉移到雲端。

然而，這樣的短期解決方案會讓醫療保健組織更容易受到網路攻擊。對於那些繼續採用混合工作模式並享受其帶來的好處（包括提高員工士氣、減少倦怠以及提升生產力）的組織而言，制定長期安全策略已經迫在眉睫。

遠端醫療工作者「隨處辦公」的三大主要風險包括對 VPN 的依賴、多通道網路釣魚和影子 IT。下面將說明現代 Zero Trust 方法如何以更永續發展的方式應對這些風險。

VPN 的缺點

在過去，醫療保健組織依賴於「城堡加護城河」安全模型，該模型著重於保護網路週邊。在混合式工作環境中，這意味著使用 VPN 和遠端桌面軟體來檢查遠端使用者的認證，並加密使用者與中央企業環境中的各種應用程式或裝置之間的流量。

然而，VPN 風險（例如某些 Ivanti 和 Palo Alto Networks 產品中的零時差漏洞，以及針對 Cisco VPN 解決方案的暴力密碼破解嘗試）表明基於邊界的方法存在固有缺陷。VPN 存取具有以下缺點：

• 風險太大：正如在多個 VPN 中發現的零時差缺陷（更多範例請參見這裡和這裡）所表明的那樣，VPN 的安全性並不可靠。VPN 授予的網路層級存取和預設信任也帶來了橫向移動的可能性。

• 速度太慢：由於存取權限取決於使用者的位置、裝置、角色和身分提供者，VPN 使用者可能會遇到延遲。

• 效率太低：VPN 會減慢使用者上線速度，延遲新應用程式的推出，並因出現故障而浪費 IT 部門的寶貴時間。

在疫情期間，醫療保健組織面臨前所未有的財務壓力和 IT 人員短缺，因而開始使用 VPN，這是可以理解的。然而，越來越明顯的是，隨著遠端醫療工作範圍不斷擴大，VPN（最初設計用於少量系統的短期連線）無法再滿足其連線需求。

更有效、更可持續的方法是 Zero Trust 安全性。與有風險的 VPN 不同，Zero Trust 服務要求對嘗試存取私人網路上資源的每個人和裝置進行嚴格的身分驗證，無論其位於何處。

例如，Zero Trust 技術支援醫療保健組織：

• 驗證每個應用程式存取請求，不僅僅基於身分：在授予某人存取資源的權限之前，還會考慮地理位置、裝置安全狀態、企業安全標準、風險/信任的持續評估以及其他因素。

• 檢查並篩選所有員工的網際網路流量：無論員工在哪里工作，他們的網際網路瀏覽都容易遭受網路釣魚、惡意程式碼、勒索軟體和其他攻擊。與 VPN 不同，Zero Trust 能夠封鎖基於瀏覽器的攻擊，還可以防止員工造訪可疑網站或與其進行互動。

網路釣魚攻擊

根據一項針對 2015 年至 2020 年醫療相關資料外洩的研究，因網路釣魚詐騙而導致洩露的病患記錄比其他任何原因都要多。

例如，網路釣魚攻擊是佛蒙特大學 (UVM) 健康網路遭受勒索軟體攻擊的根本原因。事件起因是一名外出工作的員工使用工作筆記型電腦查看個人郵件。其中一封看似來自該員工房產擁有者協會的電子郵件啟動了惡意程式碼，使攻擊者能夠橫向移動並存取 UVM 健康網路的系統。這次攻擊導致營運中斷數週：數百名員工無法工作；病患手術推遲；該組織損失超過 6,300 萬美元。

針對性強且無惡意程式碼的商業電子郵件入侵 (BEC) 網路釣魚也在增加。2024 年 6 月，FBI 和美國衛生與公眾服務部發出警告稱，攻擊者取得了醫療保健員工電子郵件帳戶的存取權限，並使用登入資訊轉移保險金。

對於現代員工而言，工作和資料不僅僅存在於電子郵件中。例如，SMS（文字訊息）以及公共和私人訊息應用程式是越來越常見的攻擊媒介，其中攻擊者利用透過這些通路傳送連結的能力以及人們消費資訊和工作的方式。還有雲端協作，其中攻擊者依賴 Google Workspace、Atlassian 和 Microsoft Office 365 等工具上的連結、文件和 BEC 網路釣魚。最後，還有針對 LinkedIn 和其他平台使用者的 Web 和社群網路釣魚。

為了防止此類「多通路」攻擊，醫療保健提供者可以使用多層方法，首先保護電子郵件，然後將 Zero Trust 延伸至基於 Web 的其他流量。

使用 Zero Trust 方法來應對網路釣魚，組織可以實現以下目標：

• 自動隔離可疑的電子郵件連結，防止工作人員的裝置接觸惡意 Web 內容

• 限制使用者與可疑網站的互動，並防止嵌入網頁中的惡意指令碼在工作人員的裝置上本機執行

• 完全封鎖對高風險網站（例如已知參與網路釣魚的網站）的存取

• 限制可以上傳、輸入或複制並粘貼到第三方應用程式中的內容；還可以防止工作人員將專有資料上傳到第三方生成式 AI 工具中

影子 IT 的風險

混合式工作環境增加了「影子 IT」（未經批准使用軟體、硬體或其他系統）的風險。根據 2024 年的一項調查，美國衛生系統的大多數 (81%) IT 領導者報告稱，其員工存在購買影子 IT 軟體的行為。近一半 (48%) 的受訪者在過去一年內未對其組織的軟體進行稽核。

對於醫療保健組織而言，影子 IT 是一個特別嚴重的威脅。它削弱了 IT 部門保護和監控關鍵系統的能力，從而使病患資料面臨風險。例如，未經批准的 SaaS 應用程式幾乎無法驗證受保護健康資訊 (PHI) 是否符合 HIPAA 規範，並增加了零時差漏洞和資料外洩的風險。

組織是否應該逐一檢查每個使用者、每個檔案、每個 SaaS 應用程式，以找出潛在的問題？對於大多數組織來說，這種做法並不現實。

為了幫助減少未經授權應用程式的使用，請對員工進行持續的風險管理訓練，並建立「無責備」文化（對於那些可能已經採用影子 IT 的員工）。

此外，還應結合以下 Zero Trust 技術控制措施來進一步降低風險：

• 提供對工作人員正在造訪的 SaaS 應用程式和網路來源的可見度；然後，組織可以根據需要建立原則來允許、限制或封鎖影子 IT 的使用

• 透過持續掃描暴露檔案、可疑活動和設定錯誤（資料外洩的常見原因），保護 SaaS 應用程式和其他雲端託管服務

• 偵測並阻止人們透過雲端、應用程式、電子郵件和裝置過度分享敏感性資料，從而減少資料暴露

使用全球連通雲簡化混合式工作安全性

Cloudflare Zero Trust 服務整合了許多原本不同的技術服務，讓組織能夠更輕鬆地保護任何連線，並確保在任何位置使用任何裝置的員工都能安全高效地使用網際網路、應用程式和基礎架構。所有服務均由全球連通雲提供，這是一個統一的智慧型雲端原生服務平台，可簡化所有 IT 環境中的安全「任意」連線性。

藉助 Cloudflare 的全球連通雲，醫療保健提供者可以保護病患資料，為臨床醫生提供順暢的技術體驗，提供頂級的虛擬護理服務——所有這些都具有更大的敏捷性和控制力。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其中之一。

重點

閱讀本文後，您將能夠瞭解：

• 遠端醫療工作者面臨的三大網路安全風險

• 使用 VPN 連線分散式員工的缺點

• 在醫療保健領域使用 Zero Trust 實現安全遠端存取的好處

相關資源

• 實現醫療保健服務提供者網路安全現代化

• 保持醫療保健產業的網路韌性

• 保護混合式工作